「アイデンティティ・ガバナンス」「アイデンティティ・セキュリティ」というキーワードを見聞きすることが増えてきている。しかし、比較的新しい領域であるため理解が広がっていない。この連載では「なぜ今アイデンティティ・セキュリティが注目されるのか?」をテーマとし、アイデンティティ・セキュリティの企業内での位置づけや必要性などを解説していく。
セキュリティのビッグキーワード ゼロトラスト
標的型攻撃、APT攻撃、ランサムウェア、ビジネスメール詐欺、フィッシング、不正アクセス、脆弱性攻撃、DDoS、内部不正、情報漏えいなど、最近あまり聞かなくなったものから依然としてよく見聞きするものまで、さまざまなセキュリティ関連のキーワードがメディアを賑わせてきた。ただ、ゼロトラストほど広範で長期にわたって使われるキーワードはあっただろうか。先に挙げたキーワードは主に具体的な攻撃手法やインシデントを表す。従って、キーワードの後に「対策」を付けて製品やサービス紹介の枕詞として使われている。
一方、ゼロトラストはサイバーセキュリティにおけるコンセプト・考え方である。「対策」よりは「実現」「実装」と組み合わせて使われる。コンセプトであるため、ゼロトラストを「実現」「実装」するには、さまざまなテクノロジー・製品・サービスを組み合わせる必要がある。逆にいえば、どのようなセキュリティ製品・サービスであってもゼロトラスト実現の一部になりうる。実際に「ゼロトラスト実現のための」といった枕詞と共にさまざまなテクノロジー・製品・サービスの紹介に用いられている。セキュリティのビッグキーワードとなったゼロトラストは、今後も広く利用され議論されていくだろう。
ゼロトラストの前提となるアイデンティティ・ガバナンス
ビックキーワードとなったゼロトラストだが、さまざまなテクノロジー・製品・サービスを組み合わせる必要があるため、実装にあたっては困難がつきまとう。「適したIT人材がいない」「どのように組み合わせればいいか分からない」「何から始めればいいのか分からない」などの課題をよく聞く。これらの問いに対する筆者の解は「まずはアイデンティティより始めよ」である。
ゼロトラストを極端に簡単に説明すると、「Never Trust , Always Verify (信頼するな、常に検証せよ)」となる。「適切なユーザーが適切なデバイスで適切なデータ・アプリにアクセスしているか?」を検証するのである。ただし、検証する上での前提がある。「誰(ユーザー)が何 (データ・アプリ)に対してアクセスする権限を持っているのかがきちんと正しく定義・管理されている」ことである。いい換えると「最小権限の原則」の維持が必要不可欠ということだ。「最小権限の原則」を維持するために、ビジネス上の役割に応じて権限の付与・見直し・更新・削除を実現するのがアイデンティティ・ガバナンスである。
ゼロトラスト 検証するための前提
NIST(米国国立標準技術研究所)がゼロトラストの定義や七つの理念を整理した「NIST SP 800-207 ゼロトラスト・アーキテクチャ」の中で、アイデンティティ・ガバナンスは3章「論理的構成要素」などに明記されている。
国内にもゼロトラストに関するガイドライン・解説・資料などはたくさんあるが、直接アイデンティティ・ガバナンスに言及しているものに加えて、「ID統制」「ID管理(アイデンティティ管理)」「アクセスコントロール、アクセス権の管理」といった形でアイデンティティ・ガバナンスの必要性を訴えているので確認してほしい。
2022年度のうちにアイデンティティ・ガバナンスに着手を!
アイデンティティへの取組状況として、アイデンティティとセキュリティに関するベンダーなどから構成された非営利団体でアイデンティティ・セキュリティに関する啓もう活動や情報提供を行うIdentity Defined Security Alliance の2022 Trends in Securing Digital Identitiesを紹介する。回答者であるアイデンティティとセキュリティ分野におけるITプロフェッショナル94%が「戦略的投資の一環としてアイデンティティへの投資を含める」と回答している。
国内での取組状況としては、筆者もメンバーであるJNSAデジタルアイデンティティWG(ワーキンググループ)が昨年実施したウェビナーのアンケート結果を紹介したい。アンケート回答者が「今後の対策として重要」なものとして挙げたのは「アイデンティティ・ガバナンス」が最も多かった。
「今後の対策として重要」なもの(JNSAの開催レポートより)
世界的には既に大半の企業・組織が「アイデンティティ・ガバナンス」に着手しているが、日本国内においては今後の対策と認識されている点が日本企業の遅れを物語っている。海外の企業は既に着手し、国内でも今後の対策として検討が本格化している中、まだ検討を始めていない企業・組織があれば、2022年度中にはぜひ検討を開始してほしい。DXやクラウド化のように遅れをとることは日本の国際競争力の低下にも直結する。
アイデンティティ・ガバナンスは、世界的にはしっかり投資をしてビジネス上での効果を得ている領域である。一方、アイデンティティ管理、アイデンティティ・ガバナンスのプロジェクト・プログラムは遂行が難しく、必要性は強く感じていても、つい後回しにしてしまう領域でもある。
次回以降は、アイデンティティ管理・アイデンティティ・ガバナンスの効果・必要性・難しさ・取り組み方などを説明していきたい。
■執筆者プロフィール
佐藤公理(サトウ キミマサ)
SailPointテクノロジーズジャパン シニアセールスエンジニア
CISSP(公認情報システムセキュリティプロフェッショナル)
CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャ)
2001年より現在までサン・マイクロシステムズ、ノベル、マカフィー、エントラスト、SailPoint(セイルポイント)においてセキュリティ、デジタルアイデンティティ分野のコンサルタント、プリセールスエンジニアとして活動。幅広いセキュリティ分野の知識・経験と、コンサルタント、プリセールスエンジニアとしての現場感を大切に、製品・サービスとITの現場をつないで、IT管理者の皆さんが楽しく仕事ができる安心・安全な情報システムを増やすことを目標に日々精進中。
佐藤公理(サトウ キミマサ)
